Equation Group

Cet article est une ébauche concernant la sécurité informatique.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Equation Group

Cadre
Type	Groupe de hackers, Advanced Persistent Threat

Organisation
Affiliation	Tailored Access Operations

L'Equation Group (groupe Équation) est le nom attribué à un groupe informatique de cyber-espionnage de haut niveau^[1] lié à la National Security Agency (NSA). Cela provient notamment de la proximité avec les vers informatiques Flame et Stuxnet, voire le logiciel malveillant Regin.

En raison de la prédilection du groupe pour des méthodes de chiffrement sophistiquées dans leurs opérations, le nom d'Equation Group a été choisi par Kaspersky Lab^[1] qui a documenté près de 500 infections de logiciels malveillants par les outils du groupe dans au moins 42 pays. Il s'agirait de « la plus vaste opération de piratage de tous les temps »^[2], remontant les premières traces au début des années 2000 et même possiblement à 1996^[2].

En août 2016, le groupe de hackers The Shadow Brokers dévoile une série d'outils d'espionnage et de cyberarmes appartenant à l’Equation Group.

Vecteurs d'infection modifier

Kaspersky Lab a identifié qu'Equation Group exploitait au moins sept failles de sécurité liées à Microsoft Windows, Internet Explorer et Java, dont quatre étaient des vulnérabilités dites « zero-day » (qui ne sont pas corrigées ou connues de l’éditeur au moment de leur utilisation)^[3]^,^[4]. L’éditeur russe décrit également l’exploitation d'autres failles inconnues début 2015 - probablement également de type zero-day - dans Mozilla Firefox 17 et le navigateur Tor Browser Bundle^[5].

Fanny, le logiciel malveillant développé par l'Equation Group se loge dans le firmware des disques durs et donc résiste à un reformatage du disque ou l'installation d'un nouveau système d'exploitation^[2].

Pour infecter leurs victimes, l'Equation Group utilise un arsenal d'« implants » (logiciel malveillant) :

EquationLaser (2001-2004) est un implant de première génération^[6];
EquationDrug (2003-2013) est une plate-forme d'attaque très complexe qui prend en charge un système modulaire de plugins^[6];
DoubleFantasy (2004-2011) est un cheval de Troie conçu pour confirmer que la cible atteinte est la bonne. Si tel est le cas, le trojan est alors remplacé par une plate-forme plus complète comme EquationDrug ou GrayFish^[6];
TripleFantasy (2012-2014) est une porte dérobée qui semble être une version plus évoluée de DoubleFantasy^[6];
Fanny (2008-2010) est un ver informatique utilisé pour dérober des informations. Il utilise deux vulnérabilités dites « zero-day » qui ont été découvertes ultérieurement avec Stuxnet^[6];
GrayFish (2008-2014) est la plate-forme d'attaque la plus sophistiquée d'Equation Group, qui réside entièrement dans la base de registre de windows^[6].

Au-delà des vecteurs classiques, le rapport de Kaspersky relate également un cas spécifique d’infection d’un chercheur via un cédérom reçu à la suite d'une conférence scientifique s’étant déroulée à Houston en 2009^[7]^,^[8].

Profils des cibles modifier

Pays modifier

En février 2015, Kasperky Lab indique avoir identifié des victimes dans 42 pays, en Asie, Afrique, Europe (Allemagne, Belgique, France, Grande-Bretagne et Suisse) et Amérique du Sud^[4]. Les principaux pays visés seraient l'Iran, la fédération de Russie, le Pakistan, l’Afghanistan, l'Inde, la Chine, la Syrie et le Mali^[4].

Secteurs d'activités modifier

En se basant sur la liste des 500 victimes recensées, Kaspersky Lab indique que les organisations visées appartiennent généralement aux catégories suivantes : « organisations gouvernementales et institutions diplomatiques, entreprises publiques ou privées du secteurs des télécommunications, de l’aérospatiale, de l'énergie, de la recherche nucléaire, du pétrole et gaz, des organisations du secteur militaire, des entreprises spécialisées en nanotechnologie, des militants et activités islamiques, des entreprises du secteur des médias, du transport, des institutions financières ou bien encore des sociétés réalisant de la recherche et développement en cryptographie »^[4].

Attribution modifier

Kaspersky Lab ne cite jamais la National Security Agency (NSA) dans son rapport publié en février, mais indique qu'Equation Group aurait travaillé de manière rapprochée avec les équipes à l'origine de Flame et de Stuxnet. Selon l'expert en sécurité Claudio Guarnieri et plusieurs anciens agents du renseignement américain anonymes, Equation Group serait lié à la NSA^[1]^,^[9].

Notes et références modifier

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Equation Group » (voir la liste des auteurs).

↑ ^{a b et c} Damien Leloup et Martin Untersinger, « Le groupe Equation, la bonne vieille boîte à outils de la NSA », Le Monde,‎ 17 février 2015 (lire en ligne)
↑ ^{a b et c} « Cyberespionnage - Equation : la plus vaste opération de piratage de tous les temps », Le point,‎ 17 février 2015 (lire en ligne)
↑ Marc Zaffagni,, « Equation Group, les maîtres du cyberespionnage », Futura sciences,‎ 18 février 2015 (lire en ligne)
↑ ^{a b c et d} (en) « Equation Group: Questions and Answers » [PDF], février 2015 — Rapport de Kaspersky Lab, Version 1.5
↑ Gilbert Kallenborn, « La NSA est capable de reprogrammer n’importe quel disque dur », 01Net,‎ 17 février 2015 (lire en ligne)
↑ ^{a b c d e et f} (en) « Equation Group: The Crown Creator of Cyber-Espionage », Kaspersky Lab,‎ 16 février 2015 (lire en ligne)
↑ Louis Adam, « 'Fanny', disques durs espions : Kaspersky déterre les vieux jouets de la NSA... », ZDNet,‎ 17 février 2015 (lire en ligne, consulté le 19 février 2015)
↑ (en) Dan Goodin, « How “omnipotent” hackers tied to NSA hid for 14 years—and were found at last - "Equation Group" ran the most advanced hacking operation ever uncovered. », ArsTechnica,‎ 16 février 2015 (lire en ligne, consulté le 19 février 2015)
↑ (en) Joseph Menn, « Russian researchers expose breakthrough U.S. spying program », Reuters,‎ 16 février 2015 (lire en ligne)

Annexes modifier

Sur les autres projets Wikimedia :

Equation Group, sur Wikimedia Commons

Articles connexes modifier

Fuite d'information
Logiciel espion
Logiciel malveillant
Logiciels similaires : Regin, Flame, Stuxnet
Vulnérabilité (informatique)

Liens externes modifier

(en) « Equation Group: Questions and Answers » [PDF], février 2015 — Rapport de Kaspersky Lab

[lemonde20150217-1] {a b et c} Damien Leloup et Martin Untersinger, « Le groupe Equation, la bonne vieille boîte à outils de la NSA », Le Monde,‎ 17 février 2015 (lire en ligne)

[lepoint20150217-2] {a b et c} « Cyberespionnage - Equation : la plus vaste opération de piratage de tous les temps », Le point,‎ 17 février 2015 (lire en ligne)

[futurasciences20150218-3] Marc Zaffagni,, « Equation Group, les maîtres du cyberespionnage », Futura sciences,‎ 18 février 2015 (lire en ligne)

[rapportkasperksy201502-4] {a b c et d} (en) « Equation Group: Questions and Answers » [PDF], février 2015 — Rapport de Kaspersky Lab, Version 1.5

[01Net20150218-5] Gilbert Kallenborn, « La NSA est capable de reprogrammer n’importe quel disque dur », 01Net,‎ 17 février 2015 (lire en ligne)

[kaspersky20150216-6] {a b c d e et f} (en) « Equation Group: The Crown Creator of Cyber-Espionage », Kaspersky Lab,‎ 16 février 2015 (lire en ligne)

[zdnet20150218-7] Louis Adam, « 'Fanny', disques durs espions : Kaspersky déterre les vieux jouets de la NSA... », ZDNet,‎ 17 février 2015 (lire en ligne, consulté le 19 février 2015)

[arstechnica20150216-8] (en) Dan Goodin, « How “omnipotent” hackers tied to NSA hid for 14 years—and were found at last - "Equation Group" ran the most advanced hacking operation ever uncovered. », ArsTechnica,‎ 16 février 2015 (lire en ligne, consulté le 19 février 2015)

[Reuters20150217-9] (en) Joseph Menn, « Russian researchers expose breakthrough U.S. spying program », Reuters,‎ 16 février 2015 (lire en ligne)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]